-
随着云原生技术的迅猛发展,其在企业数字化转型中的核心地位日益凸显,与此同时,云原生安全问题也受到了前所未有的关注。随着云原生架构的复杂度提升,漏洞的利用不再局限于单一组件的孤立缺陷,而是逐渐演变为多系统、多组件间的协同性风险
-
曾梦想仗剑洞穿幽暗的代码,无物可挡扫描器的锋芒,天马行空的逻辑迷雾中框框出洞,了无隐患的牵挂,穿过无聊重复的业务逻辑,也曾因误报彷徨;当警报低鸣的瞬间,才见安全的世界清澈高远,盛开着永不凋零的自动化静态代码审计。
-
记一次低版本禅道绕waf getshell。在针对某公司授权攻防项目时,外网有一禅道多年多次多支队伍都没能拿下来,此次缺乏有效突破点,无奈之下决定啃下这块硬骨头。waf策略较严格,利用多个php trick 绕过获得权限。
-
陈年老洞,ActiveMQ 通过报错泄漏应用路径,实质上是 Jetty 漏洞,在处理报错时,sendError 函数携带了抛出的异常,导致信息泄漏
-
在测试中会遇到内存马加载不成功的情况,于是多次打 poc复现问题就会报错类重复加载。发现了一个小 tip 使用新的类加载器规避掉类名重复的情况。